--- title: "CVE-2024-34102 – Magento-Sicherheitslücke jetzt schließen" url: "https://www.wamoco.de/magento-kritische-sicherheitsluecke-cve-2024-34102/" description: "Eine kritische Magento-Sicherheitslücke erlaubt unauthentifizierte Remote-Code-Execution. So patchen und prüfen Sie Ihren Shop richtig." --- #Magento#Security#Patch # CVE-2024-34102 – Magento-Sicherheitslücke jetzt schließen Eine kritische Magento-Sicherheitslücke erlaubt unauthentifizierte Remote-Code-Execution. So patchen und prüfen Sie Ihren Shop richtig. 28\. Juni 2024 · wamoco ![CVE-2024-34102 – Magento-Sicherheitslücke jetzt schließen](/img/blog/wamoco-blog-Sicherheitsluecke.jpg) Am 11. Juni 2024 hat Adobe einen Sicherheitspatch für eine der kritischsten Magento-Schwachstellen der letzten Jahre veröffentlicht: **CVE-2024-34102**. Die Lücke erlaubt es Angreifern, beliebigen Schadcode auszuführen und damit den gesamten Shop zu kompromittieren. ## Was ist CVE-2024-34102? CVE-2024-34102 ist eine kritische Schwachstelle in Magento, durch die Angreifer mit speziell präparierten XML-Daten beliebigen Code auf dem Server ausführen können. Technisch handelt es sich um einen **XML-External-Entity-Angriff (XXE)**. Über diesen Weg lassen sich sensible Daten exfiltrieren, Dateien lesen und verändern oder sogar die vollständige Kontrolle über den Server übernehmen. ## Wie können Sie sich schützen? Wer kann, sollte zeitnah auf eine bereits gepatchte Version aktualisieren. Wenn das aktuell nicht möglich ist, spielen Sie unbedingt den separaten Patch für [CVE-2024-34102](https://experienceleague.adobe.com/en/docs/commerce-knowledge-base/kb/troubleshooting/known-issues-patches-attached/security-update-available-for-adobe-commerce-apsb24-40-revised-to-include-isolated-patch-for-cve-2024-34102) ein. Folgende Magento-Versionen enthalten den Patch bereits: * Magento 2.4.7-p1 * Magento 2.4.6-p6 * Magento 2.4.5-p8 * Magento 2.4.4-p9 ## Wie funktioniert der Angriff? Der Angriff nutzt aus, dass der XML-Parser in Magento externe Entitäten laden kann. Wenn eine Anwendung XML-Daten ohne ausreichende Validierung verarbeitet, lassen sich präparierte XML-Daten einschleusen, die den Parser dazu bringen, Daten von externen Quellen nachzuladen. Ein typisches Szenario: Eine externe DTD (Document Type Definition) lädt den Inhalt einer sensiblen Datei wie `app/etc/env.php` und sendet ihn an einen vom Angreifer kontrollierten Server. Auf diese Weise lässt sich beispielsweise der **Crypt Key** des Shops auslesen. Wer den Crypt Key besitzt, kann sich gültige Access Tokens erzeugen und damit über die API auf **alle Shop-Daten** zugreifen. ## Warum ist das ein erhebliches Risiko? Die Schwachstelle erlaubt Angreifern, vollständige Kontrolle über den Shop zu übernehmen. Konkret bedeutet das: * **Exfiltration sensibler Daten:** Benutzerdaten, Zahlungsinformationen, Konfigurationsdateien. * **Ausführung beliebigen Codes:** Hintertüren, Malware, Persistenz-Mechanismen. * **Komplette Kompromittierung des Servers:** Daten lassen sich löschen, verändern oder verschlüsseln. ## Existierende Exploits Funktionierende Exploits sind bereits öffentlich. Sansec hat einen detaillierten Bericht zu „CosmicSting” veröffentlicht, der die Angriffsvektoren und Auswirkungen beschreibt. Den vollständigen [Bericht von Sansec](https://sansec.io/research/cosmicsting) finden Sie online. ## Fazit CVE-2024-34102 gehört zu den schwerwiegendsten Magento-Lücken der letzten Jahre. Shop-Betreiber sollten den Patch **unverzüglich einspielen**, um ihre Systeme zu schützen und die Integrität der Daten sicherzustellen. ## Unterstützung beim Patch oder Audit? Wir prüfen, ob Ihr Shop betroffen ist und spielen den Patch sauber ein. [Audit anfragen](/kontakt/)